Személyes adatok kezelése a köznevelési intézményekben
Személyes adat:
Személyes adatnak minősül minden olyan információ, amely hozzájárulhat egy személy, vagy annak családtagjainak azonosításához. Az iskolai nyilvántartásokban szereplő adatok közül ide tartozik többek között a tanulók neve, lakcíme, elérhetőségei, fegyelmi adatai, valamint a érdemjegyei és előmeneteli naplói, stb. Személyes adat továbbá a személyt megjelenítő fénykép vagy hangfelvétel.
Személyes adatot az iskolákban kizárólag:
- jogszabályi felhatalmazás vagy
- hozzájárulás
alapján szabad kezelni, pontosan meghatározva az egyes adatkezelések jogalapját, célját, idejét és az egyes adatkezelésekkel kapcsolatos személyiségi jogok gyakorlásának feltételeit.
- A jogszabály alapján kezelendő személyes adatok körét a 2011. évi CXC. törvény (Nkt.) 41.§-a határozza meg, az adatkezelésben érintettek pedig a köznevelési intézménnyel jogviszonyban álló tanulók, azok törvényes képviselői, az alkalmazottak, valamint a szerződéses partnerek.
Tekintettel arra, hogy közfeladata ellátása során kezeli az iskola a jogszabályban meghatározott adatokat, ezért a jogszabályban nevesített adatok körében az iskolai adatkezelés nem igényel külön hozzájárulást az érintettek részéről.
Ugyanakkor az ezen a jogalapon gyűjtött adatok más célok érdekében nem használhatók fel. Például az iskolák nem adhatják át e jogalappal a szülők e-mail címét egy harmadik félnek, amely iskolai rendezvényeket szervez, vagy fotókat készít, hiszen ez már nem minősül az iskola részéről közfeladatnak. Ilyenkor az adattovábbítás csak hozzájárulás alapján történhet.
Az általános szabályon túlmenően, az Nkt. „26. A köznevelési intézményekben nyilvántartott és kezelt személyes és különleges adatok” cím alatt részletezi a nem önkéntes hozzájáruláson alapuló személyes adatok kezelésére, továbbítására, megőrzésére vonatkozó speciális szabályokat.
- Az érintett személyek vagy – a még nem nagykorú személyek esetén – azok törvényes képviselőinek hozzájárulását kell kérni azon adatokkal kapcsolatosan, amelyeket a jogszabály nem sorol fel kötelezően kezelendő adatként pl. e-mailcímek, iskolai kirándulások, iskolai rendezvényen történő képfelvétel vagy videó stb.
Tájékoztatás követelménye:
A hozzájárulás beszerzését megelőzően az iskolák számára a GDPR és az Infotv. is kötelezettségként írja elő, hogy a szülőket és egyéb érintett feleket tájékoztatniuk kell arról, hogy a diákok, valamint a szülők személyes adatait ki használja fel és milyen céllal. A tájékoztatás további kötelező elemeit a GDPR 13. cikke sorolja fel.
Az érintett egyértelmű hozzájárulása szükséges minden olyan adatkezelés esetén, amely kívül esik az iskola Nkt.-ban meghatározott adatkezelési körén. Külön tájékoztatást kell adni és hozzájárulást kérni akkor is, amennyiben a köznevelési adatfeldolgozás céljából valamely, nem jogszabályban meghatározott szervezet számára adatokat ad át (pl. tanulói biztosítást köt).
Hozzájárulás visszavonása:
Az önkéntes adatszolgáltatásra vonatkozó hozzájárulást (azt illetően például, hogy a tanuló fényképe szerepelhet-e az iskola folyosóján vagy honlapján) bármikor vissza lehet vonni. A visszavonás lehetőségéről egyértelmű tájékoztatást kell adni, pl. az iskola honlapján.
Adatok törlése:
A köznevelési intézményekben folyó adatkezelés tekintetében törölni kizárólag olyan adatot lehet, amelynek begyűjtése önkéntes hozzájárulás alapján történt, illetve abban az esetben, ha a célhoz kötöttség vagy a jogalap megszűnt (utóbbi esetben a törlés kötelező).
Iskolai honlap:
Az iskola honlapján elérhetővé kell tenni a GDPR előírásaival összhangba hozott Adatkezelési tájékoztatót. Az Adatkezelési tájékoztatóban minden, a honlappal kapcsolatos személyes adatkezeléséhez tartozó eljárást/információt rögzíteni kell.
Amennyiben az iskolának van hírlevele, vagy regisztrációs felülete van akkor:
- a feliratkozás/regisztráció szabályainak összhangban kell élni a GDPR-ral;
- a feliratkozási/regisztrációs űrlapokon javasolt az Adatkezelési tájékoztató elfogadásához és a személyes adatok kezelésének engedélyezéséhez jelölőnégyzetes megoldást használni;
- biztosítani kell a megadott adatok hozzáférhetőségét és módosíthatóságát, valamint a hírlevéllel kapcsolatos leiratkozás lehetőségét vagy a regisztráció törlésének lehetőségét.
Mivel ezeken a felületeken hozzájáruláson alapuló adatkezelés történik, így minden esetben szükséges a tájékoztató és hozzájárulást kifejező jelölőmező megjelenítése.
A honlapok a felhasználókról, valamint a felhasználás módjáról információt gyűjtenek/gyűjthetnek, így ezekről is tájékoztatást szükséges adni az Adatkezelési tájékoztatóban (Google Analitcs, cookie-k kezelése stb.).